空投从入门到归零，小心“变种”授权骗局

大家好，我是佩佩，因最近看到空投这部分的骗局比较多，所以这期特别要来提一下，首先先说下目前我们文末的项目日志，已调整为可查看不可编辑，如上面再看到不明链接我也会删除。

之前是希望提供这么个小的空间供大家分享信息人多力量大，但现在我发现已经违背了初衷，一是杂七杂八的邀请链接不管什么样的都放在上面，二是我也没有足够的精力去一个个审核，且最近市场上各种利用授权漏洞的骗局越来越显现：

为了规避这方面风险，项目日志模式做下调整，希望大家能理解，如果你有发现什么好项目想要分享，直接私信我或下方留言，我认为合适的也会放上去。

类似这种只要用户申领了就可以提走钱包里资产的基本还是“过度授权”的问题，即对方在你不知情的情况下获取了转移账户余额的权限，从而不需要该地址私钥也能将其中的币转走。

关于授权，我们最常见的一种形式就是在使用各类DEX时，当开始一个交易对的第一笔交易时会出现一个授权的按钮，英文是approve：

要先点击授权才能开始交易兑换，或是进行一些提供流动性之类的操作，它这里授权就是给进行该交易背后的智能合约以转移你账户里token的权限。

那为什么要有这样一个授权步骤呢，这其实源于以太坊智能合约的一个特性：对非原生代币，如erc20标准代币，直接从地址像目标合约地址转账，合约是接收不到的！

这里的智能合约可理解为执行特定功能的一段代码，这些代码背后也会生成一个类似钱包里的地址即合约地址，个人地址和合约地址不相通，但现在各种defi/dex也好它们系统底层周转都用的是自动执行的智能合约，去中心化嘛，背后是没有一个主体来托管你的资产的。

那怎么来实现个体用户与合约间的交互呢？

解决办法就是-授权，相当于去中心化交易所再跟用户签署一份合同，授予该合约转移地址上资产的权限，这样就解决了不相通的问题，之前我们举过一个例子，这就好比现实中卖一辆车，你可能需要找到中介，并授权该经销商来代理出售你的车。

授权目前存在的市场是比较广泛的，不仅在以太上，类似的波场，还有所有的兼容链BSC/HECO等等都有这种机制，也就个别独立生态的公链不是这种设计，可以观察链上dex里不需要授权再交易的就没有。

当然了大部分情况下问题不是很大，毕竟正常的项目，都是要做长期的生意，信誉和资产安全很重要，不过对授权需要注意的地方在于一个是通常为了方便交易，授权功能是长期开通的，很多会设置成无限额，如果平台未来有漏洞或者内部人士作恶，用户就有可能因此遭遇资产损失。

另外就是有些土狗项目，它背地里的合约可能是能升级的，这些用户也不易察觉，你事先授权没问题不代表永远没问题。

当然上述这些也都算老生常谈，现在应该基本上都知道一个是如何去查看解锁授权：

电脑端，现在的浏览器里基本都可以直接去查看取消授权：

ETH：etherscan.io/tokenapprovalchecker

BSC：bscscan.com/tokenapprovalchecker

Heco：cointool.catxs.com/heco/hecoApprove

钱包里应用发现上方搜索cointool也有基本主流所有链的授权取消查询工具。

另一个就是注意账户的分散，撸空投的参与挖矿的和长期持有的账户分开来，不要都放在一起，甚至挖矿的地址用一次换一个，这可能也是目前最有效的一个防范措施。

当然今天特别再来说这个事情，是要注意的不仅是上面这种普通授权操作，还要注意一些“变种”形式，比如撸空投你可能认为就去那个网站填个地址也没什么关系，不过有些它网站上会有个按钮让你填完地址去申领claim，你点击它，可能背后的代码执行就是一个授权过程，下图是旁白君最近分享的一个案例：

页面表面上点击的是“下一步”，但实际是完成对U的授权，而很多网站签名的地方是英文，具体执行的啥用户很容易忽略，这就在无意识中把权限给了他人。

还有一种二维码骗局，私下交易对方说先转个小额测试，然后丢个二维码地址，一般人可能都是想也不想就转过去了，但它这个二维码里面也可能是带有一个授权操作的，只转了个不值钱的金额，但钱包内其他的资产却很快被人提光。

所以对于授权风险，不能只看那些defi项目，也要注意这种比较隐蔽的骗局，授权英文approve，钱包签名的时候也多瞄两眼。

也因为有这些风险存在，项目日志之后会以中心化的方式呈现，还望理解，不知名的网站也请谨慎去参与。

还有空投，每天都会冒出各种各样的白嫖盲薅项目，而精力是有限的，那怎么去选择，其实和投资思路也有相似的地方，就是多站到终局去思考问题，我们想通过这些项目来获取收益，那收益来自何处？团队许诺给的那些token它们是为何有一定价值呢？能靠机器大量刷邀请的它又是靠什么给人们超额收益？

结语

我到是一直有个疑问就是原生和非原生币这种区别的意义在哪里，授权是不是从底层是可以改变的，技术上知道的不多，不知道是否有朋友能释疑。

如今驱动加密世界的主要需求还是投机和盈利，在高APY的刺激下这些都不会被当做问题来看，但一个是对用户来说还是有点麻烦，特别是交易品种有点多的情况下，另一个某种角度上来说DEX项目方就真的因为去中心就不能控制用户资产了吗？Decentralize好像只是表面看上去Decentralize。

—-

编译者/作者：风火轮区块链

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。